Vulnerabilidad en las tablas de páginas de hardware en el sistema operativo invitado PV de x86 en Xen (CVE-2019-18421)

Se detectó un problema en Xen versiones hasta 4.12.x, permitiendo a usuarios del sistema operativo invitado PV de x86 alcanzar privilegios de sistema operativo host mediante el aprovechamiento de las condiciones de carrera en las operaciones de promoción y degradación de la página. Se presentan problemas con las operaciones de cambio de tipo de PV reiniciables. Para evitar el uso de tablas de páginas shadow para invitados PV, Xen expone las tablas de páginas de hardware actuales al invitado. Para impedir que el invitado modifique directamente estas tablas de páginas, Xen realiza un seguimiento de cómo son usadas las páginas utilizando un sistema de tipos; las páginas deben ser "promoted" antes de ser usadas como una tabla de páginas y "demoted" antes de ser usadas por cualquier otro tipo. Xen también permite promociones "recursive": es decir, un sistema operativo que promociona una página en una tabla de páginas L4 puede terminar haciendo que las páginas se promocionen a L3, lo que a su vez puede causar que las páginas se promocionen a L2, y así sucesivamente. Estas operaciones pueden tomar una cantidad de tiempo arbitrariamente grande y, por lo tanto, deben ser reiniciadas. Desafortunadamente, hacer reiniciables las operaciones de promoción y degradación de tablas de páginas recursivas es increíblemente complejo, y el código contiene varias carreras que, si son activadas, pueden hacer que Xen elimine o retenga conteos de tipos adicionales, lo que potencialmente permite a los invitados conseguir acceso de escritura a las tablas de páginas en uso. Un administrador invitado malicioso de PV puede escalar sus privilegios a los del host. Todos los sistemas x86 con invitados PV no confiables son vulnerables. Los invitados HVM y PVH no pueden ejercer esta vulnerabilidad.